De acordo com o pesquisas recentes, 54% das empresas sofreram violações de dados de terceiros apenas durante os 12 meses anteriores — e o custo dessas violações continua a aumentar. Hoje, os custo médio de uma violação de dados aumentou para 4.45 milhões de dólares nos Estados Unidos, um aumento de mais de 15% nos últimos três anos, e os dados indicam que o envolvimento de terceiros é um dos factores agravantes mais significativos.
O termo “violação de terceiros” leva muitos a acreditar que a culpa por tal incidente é de terceiros, mas nem sempre é esse o caso. Embora seja importante examinar minuciosamente as práticas de segurança de potenciais parceiros e fornecedores, as organizações também precisam proteger e gerenciar com eficácia as identidades de não funcionários para evitar riscos desnecessários. À medida que o volume e a gravidade das violações de terceiros continuam a crescer, a implementação de medidas eficazes gestão de risco de não funcionários práticas se tornarão cada vez mais críticas para os negócios modernos.
As identidades de não funcionários estão disparando
O volume de identidades em uso pelas organizações médias disparou nos últimos anos, e as identidades de não funcionários não são exceção. A estudo recente da McKinsey descobriu que 36% da força de trabalho dos EUA é agora composta por trabalhadores temporários, contratados, autônomos e temporários - acima dos 27% em 2016. Além dos trabalhadores contratados, as empresas de hoje trabalham em estreita colaboração com organizações parceiras, fornecedores da cadeia de suprimentos, consultores e outras entidades externas, todos os quais exigem vários graus de acesso aos ambientes digitais da organização.
O volume de identidades de não funcionários é significativo o suficiente sem entrar em identidades não humanas, como aquelas associadas aos 130 diferentes aplicativos de software como serviço (SaaS) que o empresa média usa hoje. Para trabalhar no ambiente digital de uma organização, cada uma dessas entidades não-funcionárias precisa de identidades adequadamente provisionadas, e essas identidades precisam ser gerenciadas de forma eficaz durante todo o seu ciclo de vida para reduzir o risco e evitar se tornarem uma ameaça potencial.
O ciclo de vida da identidade de não funcionário
Um dos maiores desafios quando se trata de proteger e gerenciar identidades de não funcionários é o processo de integração. Os departamentos de TI e de segurança nem sempre têm as informações necessárias sobre as funções específicas que um trabalhador não funcionário pode precisar executar, o que dificulta o provisionamento. E como as equipes de segurança estão frequentemente sob pressão para evitar obstruir as operações comerciais, o caminho de menor resistência geralmente é conceder mais permissões do que o necessário. Isso ajuda a agilizar as operações, mas também é perigoso: quanto mais permissões uma identidade tiver, mais danos um invasor poderá causar se essa identidade for comprometida.
A natureza transitória dos trabalhadores não empregados também dificulta a gestão do ciclo de vida da identidade. As contas órfãs são um problema significativo: se ninguém informar a TI ou a segurança que um contratante saiu, sua conta — completa com todas as suas permissões e direitos — pode permanecer ativa indefinidamente. Igualmente perigosas são as permissões legadas ou contas duplicadas. É importante reavaliar regularmente as permissões de que um trabalhador contratado precisa, eliminando direitos que não são mais necessários. Parece simples, mas as organizações atuais muitas vezes gerenciam centenas ou milhares de não-funcionários. Mantê-los adequadamente provisionados é um desafio significativo, mas essencial para gerenciar o risco de não funcionários.
Melhores práticas para gerenciamento de riscos de não funcionários
As organizações precisam de uma solução capaz de visualizar todas as identidades de não funcionários em um único painel — que também possa ilustrar claramente as permissões e direitos de que cada identidade desfruta. Isso significa ter uma solução que pode incorporar recursos automatizados, facilitando o provisionamento de novas contas e o encerramento de contas antigas.
A criação de funções predefinidas para determinados cargos pode tornar a integração mais rápida e segura e, quando um novo não funcionário começa a trabalhar, suas permissões devem ter uma data de término. Também é importante atribuir um “patrocinador” interno a cada trabalhador não funcionário, alguém que saiba quais permissões precisam para realizar seu trabalho e seja responsável por alertar a TI sobre quaisquer alterações em seu status. Por extensão, também é fundamental que a solução acompanhe quando o patrocínio muda — como quando o patrocinador deixa a organização ou assume uma nova função.
Uma solução eficaz de gestão de riscos de não funcionários também deve facilitar o processo de revalidação. As organizações devem realizar verificações regulares para validar se não funcionários ainda trabalham dentro da organização. Isto pode incluir uma notificação mensal enviada ao patrocinador de cada não funcionário para confirmar seu status.
O sistema também deve ser capaz de monitorar se as permissões estão sendo usadas ativamente e notificar as equipes de TI e de segurança se uma identidade parecer estar inativa ou superprovisionada com direitos de que não necessita. Verificar se as identidades têm apenas os direitos de que necessitam e evitar o problema de contas órfãs estão entre os elementos mais importantes da gestão de riscos de não funcionários.
À medida que as empresas utilizam um número crescente de trabalhadores contratados, fornecedores terceirizados, aplicativos SaaS e outras entidades não-funcionários, a adoção de uma abordagem moderna para o gerenciamento de riscos de não-funcionários não é mais opcional – é essencial.
Sobre o autor
Ben Cody tem mais de 30 anos de experiência na construção e fornecimento de produtos de software empresarial, bem como sucesso na liderança de organizações de produtos inovadores e eficientes. Como vice-presidente sênior de gerenciamento de produtos da SailPoint, Ben supervisiona a estratégia, o roteiro e a entrega de produtos da empresa. Antes de ingressar na SailPoint, Ben ocupou cargos seniores de gerenciamento de produtos na Digital Guardian e na McAfee. Sua experiência abrange gerenciamento de identidade e acesso, proteção de dados, detecção de ameaças, segurança em nuvem e gerenciamento de serviços de TI. Ben possui bacharelado em Sistemas de Informação Gerencial pela Universidade de Oklahoma. Quando não está construindo produtos que protejam identidades, é um viticultor ávido.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :tem
- :é
- :não
- $UP
- 12
- de 12 meses
- 15%
- 2016
- 30
- a
- Sobre
- Acesso
- Conta
- Contas
- ativo
- ativamente
- Adição
- Adotando
- Todos os Produtos
- sozinho
- tb
- sempre
- entre
- an
- e
- qualquer
- aparece
- aplicações
- abordagem
- SOMOS
- AS
- associado
- At
- Automatizado
- média
- evitar
- evitando
- BE
- Porque
- tornam-se
- tornando-se
- ser
- Acreditar
- ben
- O maior
- violação
- violações
- Prédio
- negócio
- negócios
- mas a
- by
- CAN
- capaz
- casas
- certo
- cadeia
- desafiar
- desafios
- Alterações
- Cheques
- claramente
- de perto
- Na nuvem
- Cloud Security
- vem
- Empresa
- completar
- Comprometido
- Confirmar
- consultores
- continuar
- continua
- contract
- Contratante
- Custo
- crítico
- ciclo
- Perigoso
- painel de instrumentos
- dados,
- violação de dados
- protecção de dados
- Data
- entregando
- Entrega
- departamentos
- Detecção
- diferente
- difícil
- digital
- do
- parece
- don
- durante
- cada
- mais fácil
- Eficaz
- efetivamente
- eficiente
- ou
- elementos
- eliminando
- final
- suficiente
- Empreendimento
- software corporativo
- entidades
- Meio Ambiente
- ambientes
- igualmente
- essencial
- exceção
- vasta experiência
- experiência
- extensão
- enfrentando
- fatores
- mais rápido
- Funcionalidades
- Escolha
- encontrado
- freelance
- da
- funções
- obtendo
- conceder
- Cresça:
- guardião
- Ter
- ter
- he
- Herói
- ajuda
- sua
- detém
- HTTPS
- Centenas
- IBM
- identidades
- Identidade
- if
- implementação
- importante
- in
- incidente
- incluir
- incorporar
- Crescimento
- aumentando
- cada vez mais
- indicam
- INFORMAÇÕES
- Sistemas de Informação
- inovadores
- interno
- para dentro
- envolvimento
- isn
- IT
- Serviço de TI
- ESTÁ
- Trabalho
- juntando
- manutenção
- principal
- Leads
- mínimo
- esquerda
- Legado
- encontra-se
- vida
- mais
- moldadas
- fazer
- FAZ
- Fazendo
- gerencia
- gerenciados
- de grupos
- Solução de gerenciamento
- gestão
- muitos
- max-width
- Posso..
- Mcafee
- McKinsey
- significa
- poder
- milhão
- EQUIPAMENTOS
- monitoração
- mensal
- mês
- mais
- a maioria
- Natureza
- necessário
- você merece...
- Cria
- Novo
- não
- notificação
- notificando
- agora
- número
- of
- frequentemente
- Oklahoma
- on
- Onboarding
- ONE
- queridos
- só
- Operações
- or
- organização
- organizações
- Outros
- lado de fora
- Acima de
- parceiro
- Parceiros
- festa
- passado
- caminho
- Realizar
- permissões
- platão
- Inteligência de Dados Platão
- PlatãoData
- abertas
- potencial
- práticas
- presidente
- pressão
- anterior
- Prévio
- Problema
- processo
- Produto
- gestão de produtos
- Produtos
- devidamente
- proteger
- proteção
- provisão
- Colocar
- reduzir
- regular
- regularmente
- permanecem
- requerer
- Resistência
- responsável
- Subir
- Ressuscitado
- Risco
- gestão de risco
- roadmap
- Tipo
- papéis
- s
- SaaS
- seguro
- assegurando
- segurança
- senior
- enviei
- serviço
- vários
- rede de apoio social
- periodo
- simples
- solteiro
- Software
- solução
- Alguém
- vãos
- específico
- patrocinador
- Patrocinado
- de patrocínio
- começa
- Unidos
- Status
- Ainda
- Estratégia
- simplificar
- sucesso
- tal
- sofreu
- supply
- cadeia de suprimentos
- .
- sistemas
- toma
- equipes
- conta
- temporário
- prazo
- do que
- que
- A
- deles
- Eles
- si mesmos
- Este
- deles
- Terceiro
- De terceiros
- dados de terceiros
- isto
- completamente
- aqueles
- milhares
- ameaça
- ameaças
- três
- todo
- para
- hoje
- pista
- verdadeiro
- para
- Unido
- Estados Unidos
- universidade
- desnecessário
- us
- usar
- usava
- usos
- utilizar
- VALIDAR
- fornecedores
- verificação
- VET
- vício
- Vice-Presidente
- volume
- BEM
- O Quê
- quando
- se
- qual
- enquanto
- QUEM
- precisarão
- de
- dentro
- sem
- Atividades:
- trabalhador
- trabalhadores
- Força de trabalho
- trabalhar
- anos
- zefirnet